文志誠(chéng)，陳志剛

?

基于隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法

文志誠(chéng)1,2，陳志剛1

(1. 中南大學(xué)信息科學(xué)與工程學(xué)院，湖南長(zhǎng)沙，410083；2. 湖南工業(yè)大學(xué)計(jì)算機(jī)與通信學(xué)院，湖南株洲，412007)

為了給網(wǎng)絡(luò)管理員制定決策和防御措施提供可靠的依據(jù)，通過(guò)考察網(wǎng)絡(luò)安全態(tài)勢(shì)變化特點(diǎn)，提出構(gòu)建隱馬爾可夫預(yù)測(cè)模型。利用時(shí)間序列分析方法刻畫(huà)不同時(shí)刻安全態(tài)勢(shì)的前后依賴關(guān)系，當(dāng)安全態(tài)勢(shì)處于亞狀態(tài)或偏離正常狀態(tài)時(shí)，采用安全態(tài)勢(shì)預(yù)測(cè)機(jī)制，分析其變化規(guī)律，預(yù)測(cè)系統(tǒng)的安全態(tài)勢(shì)變化趨勢(shì)。最后利用仿真數(shù)據(jù)，對(duì)所提出的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)算法進(jìn)行驗(yàn)證。訪真結(jié)果驗(yàn)證了該方法的正確性。

網(wǎng)絡(luò)安全態(tài)勢(shì)；隱馬爾可夫；態(tài)勢(shì)預(yù)測(cè)；參數(shù)學(xué)習(xí)；預(yù)測(cè)模型

Bass等[1?3]于2000年提出網(wǎng)絡(luò)態(tài)勢(shì)感知(CSA)的概念，詳細(xì)介紹了網(wǎng)絡(luò)態(tài)勢(shì)感知的起源、概念、目標(biāo)和特點(diǎn)等。然而，網(wǎng)絡(luò)安全態(tài)勢(shì)是網(wǎng)絡(luò)態(tài)勢(shì)的一種，一般通過(guò)感知技術(shù)來(lái)獲取，是指對(duì)關(guān)聯(lián)網(wǎng)絡(luò)安全的各要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)發(fā)展趨勢(shì)，綜合各方面的安全因素，從整體動(dòng)態(tài)上反映網(wǎng)絡(luò)當(dāng)前安全狀況，并對(duì)未來(lái)發(fā)展趨勢(shì)及發(fā)展方向進(jìn)行預(yù)測(cè)預(yù)警，為策略制定提供可靠的參照依據(jù)。網(wǎng)絡(luò)安全態(tài)勢(shì)主要強(qiáng)調(diào)環(huán)境、動(dòng)態(tài)性以及實(shí)體之間的相互關(guān)聯(lián)性，是一種狀態(tài)、一種趨勢(shì)、一個(gè)整體和宏觀全局的概念，任何單一狀況不能稱為態(tài)勢(shì)。在現(xiàn)實(shí)中，雖然傳統(tǒng)的安全設(shè)備和異常檢測(cè)設(shè)備得到了廣泛應(yīng)用[4?5]，但主要從不同視角描述網(wǎng)絡(luò)安全狀態(tài)，基本上沒(méi)有從宏觀的角度為網(wǎng)管人員提供一個(gè)清晰整體的網(wǎng)絡(luò)安全狀況。目前大多數(shù)學(xué)者用一個(gè)適當(dāng)?shù)臄?shù)值來(lái)表示當(dāng)前安全態(tài)勢(shì)，也有一些用五等化“高、中高、中、中低、低”或“1，2，3，4和5”描述安全態(tài)勢(shì)。近年來(lái)，網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)已逐漸地應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)中，有望解決網(wǎng)絡(luò)安全與管理問(wèn)題。研究者提出了一些感知方法[6?8]，但還沒(méi)有成熟的模型、方法和評(píng)價(jià)標(biāo)準(zhǔn)。張海霞等[9]提出了基于攻擊能力增長(zhǎng)的網(wǎng)絡(luò)安全分析模型，對(duì)網(wǎng)絡(luò)安全性能方面進(jìn)行了分析；謝麗霞等[10]針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知問(wèn)題，提出了一種基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法；唐成華等[11]針對(duì)安全態(tài)勢(shì)評(píng)估正確性和合理性等問(wèn)題，提出了基于D-S融合知識(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法；席榮榮等[12]給出了基于神經(jīng)網(wǎng)絡(luò)和隱馬爾可夫的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法。有必要對(duì)安全態(tài)勢(shì)未來(lái)發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。目前，對(duì)態(tài)勢(shì)發(fā)展趨勢(shì)及預(yù)測(cè)準(zhǔn)確度還不夠。唐成華等[13]提出了一種基于似然BP的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法，但該方法參數(shù)訓(xùn)練過(guò)程比較復(fù)雜，收斂速度也較慢。黃同慶等[14]從理論與實(shí)際相結(jié)合的角度提出一種基于隱Markov模型的實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型HMM-NSSP，并給出了實(shí)時(shí)預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)的方法。鄔書(shū)躍等[15]將隱馬爾可夫模型運(yùn)用到異常用戶行為的識(shí)別當(dāng)中，算法從用戶的Shell命令序列中提取特征。劉玉嶺等[16]提出了基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法，從攻擊方、防護(hù)方和網(wǎng)絡(luò)環(huán)境3方面提取評(píng)估要素，在空間維度上分析各安全態(tài)勢(shì)要素集及其相互影響關(guān)系對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的影響，從而得出網(wǎng)絡(luò)的安全態(tài)勢(shì)。為了可靠地給網(wǎng)絡(luò)管理員制定決策和防御措施提供依據(jù)，本文作者采用隱馬爾可夫模型(hidden Markov model, HMM)的時(shí)間序列方法，刻畫(huà)不同時(shí)刻安全態(tài)勢(shì)的前后依賴關(guān)系，分析其變化規(guī)律，預(yù)測(cè)變化趨勢(shì)及發(fā)展方向。其基本思路是：建立相應(yīng)的隱馬爾可夫預(yù)測(cè)模型，收集外部可觀測(cè)狀態(tài)數(shù)據(jù)及內(nèi)部狀態(tài)總數(shù)訓(xùn)練隱馬爾可夫模型，當(dāng)安全態(tài)勢(shì)異常時(shí)，通過(guò)監(jiān)測(cè)器采集樣本數(shù)據(jù)，利用已訓(xùn)練好HMM對(duì)運(yùn)行時(shí)的安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。

1 隱馬爾可夫模型

隱馬爾可夫模型(HMM)是一個(gè)雙重隨機(jī)過(guò)程，具有一定狀態(tài)數(shù)的隱馬爾可夫鏈和顯示隨機(jī)函數(shù)集，適合描述有隱含未知參數(shù)的馬爾可夫過(guò)程。自20世紀(jì)80年代以來(lái)，HMM已被應(yīng)用于語(yǔ)音識(shí)別，取得重大成功。到了20世紀(jì)90年代中期，HMM還被應(yīng)用于計(jì)算機(jī)文字識(shí)別與移動(dòng)通信核心技術(shù)“多用戶的檢測(cè)”。此外，HMM在生物信息科學(xué)和故障診斷等領(lǐng)域也開(kāi)始得到應(yīng)用。設(shè)模型的觀察序列為=(1，2，…，T)，則隱馬爾可夫模型可由一個(gè)五元組=(,, π,,)對(duì)系統(tǒng)進(jìn)行描述。在此五元組中，HMM模型中具有個(gè)隱狀態(tài)，可記為=(1，2，…，S)；每個(gè)隱狀態(tài)S對(duì)應(yīng)的有個(gè)可觀測(cè)的狀態(tài)V，記為=(1，2，…，v)。其中：π為1×階初始概率分布矩陣，表示可觀測(cè)序列在某時(shí)刻=1時(shí)，隱狀態(tài)1時(shí)所在各個(gè)隱狀態(tài)的初始所處于狀態(tài)的概率分布情況。設(shè)初始狀態(tài)矩陣π=(1，2，…，N)，則有：

2)=(a)×，為馬爾可夫鏈的狀態(tài)概率轉(zhuǎn)移矩陣，對(duì)一階HMM，有

1≤≤；1≤≤；

3)=(b)×為符號(hào)概率觀測(cè)矩陣，有

由上可知：模型中的轉(zhuǎn)移矩陣的每行分別相加之和為1，即從一個(gè)狀態(tài)轉(zhuǎn)移到其他所有隱狀態(tài)的概率之和為1，矩陣稱為隨機(jī)矩陣。隨機(jī)矩陣與矩陣的情況類(lèi)似。

2 預(yù)測(cè)模型

2.1 網(wǎng)絡(luò)安全態(tài)勢(shì)

在網(wǎng)絡(luò)態(tài)勢(shì)方面，國(guó)內(nèi)外相關(guān)研究多見(jiàn)于軍事戰(zhàn)場(chǎng)的態(tài)勢(shì)獲取，網(wǎng)絡(luò)安全領(lǐng)域的態(tài)勢(shì)獲取研究尚處于起步階段，還未有普遍認(rèn)可的解決方法。張海霞等[9]提出了一種計(jì)算綜合威脅值的網(wǎng)絡(luò)安全分級(jí)量化方法。該方法生成的態(tài)勢(shì)值滿足越危險(xiǎn)的網(wǎng)絡(luò)實(shí)體，威脅值越高。本文定義網(wǎng)絡(luò)安全態(tài)勢(shì)由網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性(runnability)、網(wǎng)絡(luò)脆弱性(vulnerability)和網(wǎng)絡(luò)威脅性(threat)三維組成，從3個(gè)不同的維度(或稱作分量)以直觀的形式向用戶展示整個(gè)網(wǎng)絡(luò)當(dāng)前安全態(tài)勢(shì)A=( runnability, vulnerability, threat)。每個(gè)維度可通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)感知，從網(wǎng)絡(luò)上各運(yùn)行組件經(jīng)信息融合而得到量化分級(jí)。為了方便計(jì)算實(shí)驗(yàn)與降低復(fù)雜度，本文中，安全態(tài)勢(shì)每個(gè)維度取“高、中、差”或“1，2，3”共3個(gè)等級(jí)取值。本文主要進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)。

2.2 構(gòu)建預(yù)測(cè)模型

隱馬爾可夫模型易解決一類(lèi)對(duì)于給定的觀測(cè)符號(hào)序列，預(yù)測(cè)新的觀測(cè)符號(hào)序列出現(xiàn)概率的基本問(wèn)題。隱馬爾可夫模型是一個(gè)關(guān)于可觀測(cè)變量與隱藏變量之間關(guān)系的隨機(jī)過(guò)程，與安全態(tài)勢(shì)系統(tǒng)的內(nèi)部狀態(tài)(隱狀態(tài))及外部狀態(tài)(可觀測(cè)狀態(tài))相比，具有很大的相似性，因此，利用隱馬爾可夫模型能很好地分析網(wǎng)絡(luò)安全態(tài)勢(shì)問(wèn)題。本文利用隱馬爾可夫的時(shí)間序列分析方法刻畫(huà)不同時(shí)刻安全態(tài)勢(shì)的前后依賴關(guān)系。

已知時(shí)刻網(wǎng)絡(luò)安全態(tài)勢(shì)，預(yù)測(cè)+1，+2，…，+時(shí)刻可能的網(wǎng)絡(luò)安全態(tài)勢(shì)。以網(wǎng)絡(luò)安全態(tài)勢(shì)的網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性(runnability)、網(wǎng)絡(luò)脆弱性(vulnerability)和網(wǎng)絡(luò)威脅性(threat)三維組成隱馬爾可夫模型的外在表現(xiàn)特征，即可觀測(cè)狀態(tài)或外部狀態(tài)，它們分別具有“高、中、差” 或“1，2，3”取值，則安全態(tài)勢(shì)共有33=27種外部組合狀態(tài)。模型的內(nèi)部狀態(tài)(隱狀態(tài))為安全態(tài)勢(shì)A的“高、中高、中、中差、差”取值。注意：在本文中外部特征的3個(gè)維度，每個(gè)維度三等取值，而內(nèi)部狀態(tài)A為五等取值。模型示例如圖1所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)HMM模型示意圖

網(wǎng)絡(luò)安全態(tài)勢(shì)A一般以某個(gè)概率a在“高、中高、中、中差、差”這5個(gè)狀態(tài)之間相互轉(zhuǎn)換，從一個(gè)狀態(tài)向另一個(gè)狀態(tài)遷移，這些狀態(tài)稱為內(nèi)部狀態(tài)或隱狀態(tài)，外界無(wú)法監(jiān)測(cè)到。然而，可以通過(guò)監(jiān)測(cè)工具監(jiān)測(cè)到安全態(tài)勢(shì)外在的表現(xiàn)特征，如網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性(runnability)、網(wǎng)絡(luò)脆弱性(vulnerability)和網(wǎng)絡(luò)威脅性(threat)三維。監(jiān)測(cè)到的這些參數(shù)值組合一個(gè)整體可以認(rèn)為是一個(gè)可觀測(cè)狀態(tài)(外部狀態(tài)，此觀測(cè)狀態(tài)由個(gè)分量構(gòu)成，是1個(gè)向量)。圖1中，設(shè)狀態(tài)1為安全態(tài)勢(shì)“高”狀態(tài)，狀態(tài)5為安全態(tài)勢(shì)“差”狀態(tài)。在實(shí)際應(yīng)用中，根據(jù)具體情況可自行設(shè)定，本文取安全態(tài)勢(shì)每維外在表現(xiàn)特征=3，則有27種安全態(tài)勢(shì)可觀測(cè)外部狀態(tài)，而其內(nèi)部狀態(tài)(隱狀態(tài))共為5種。

定義1：設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)A內(nèi)部隱狀態(tài)可表示為1，2，…，5，則網(wǎng)絡(luò)安全態(tài)勢(shì)將在這5個(gè)隱狀態(tài)之間以某個(gè)概率a自由轉(zhuǎn)移，其中0≤a≤1。

定義2：網(wǎng)絡(luò)安全態(tài)勢(shì)A外在表現(xiàn)特征可用個(gè)隨機(jī)變量x(1≤≤, 本處=3)表示，令=(1，2，…，x)構(gòu)成1個(gè)維隨機(jī)變量；在時(shí)刻，1次具體觀測(cè)o的觀測(cè)值表示為v，則經(jīng)過(guò)個(gè)時(shí)刻對(duì)觀測(cè)得到1個(gè)安全態(tài)勢(shì)狀態(tài)觀測(cè)序列={1，2，…，o}。

本文基本思路是：建立相應(yīng)的隱馬爾可夫模型，收集內(nèi)、外部狀態(tài)總數(shù)訓(xùn)練隱馬爾可夫模型；當(dāng)網(wǎng)絡(luò)安全態(tài)勢(shì)異常時(shí)，通過(guò)監(jiān)測(cè)器收集網(wǎng)絡(luò)外在表現(xiàn)特征數(shù)據(jù)，利用已訓(xùn)練好HMM的模型對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)，為管理員提供決策服務(wù)。

2.3 參數(shù)學(xué)習(xí)

前面建立了如何建立安全態(tài)勢(shì)預(yù)測(cè)的隱馬爾可夫模型=(，，)(其中，，和為未知參數(shù))。隱馬爾可夫預(yù)測(cè)模型能真正地起預(yù)測(cè)作用。參數(shù)學(xué)習(xí)的基本思路是：通過(guò)計(jì)算個(gè)最大化安全態(tài)勢(shì)觀測(cè)訓(xùn)練序列樣本得出似然HMM模型，即找出使最大化的模型，使用Baum-Welch算法(向前向后算法)。從給定的觀測(cè)序列組成安全態(tài)勢(shì)的樣本訓(xùn)練集，通過(guò)訓(xùn)練學(xué)習(xí)得到產(chǎn)生訓(xùn)練集的概率最大化即最有可能解釋這個(gè)樣本的HMM模型。

為了能使參數(shù)學(xué)習(xí)正常進(jìn)行，之前要對(duì)HMM模型的3個(gè)參數(shù)賦予先驗(yàn)值即先驗(yàn)概率PPT，可根據(jù)高斯分布(也稱正態(tài)分布)來(lái)指導(dǎo)賦予先驗(yàn)概率，而不是憑空臆想，具有客觀性。

引理1 設(shè)隨機(jī)變量~(，2)，則密度函數(shù)為。每個(gè)維度看成1個(gè)隨機(jī)變量，具有獨(dú)立同分布性質(zhì)。

根據(jù)概率論知識(shí)，可將隨機(jī)變量觀測(cè)值劃分為5個(gè)互不相交的區(qū)間Si：(?∞,?3)(+3, +∞)，(?3,?2.5)(+2.5,+3)，(?2.5,?2)(+2,+2.5)，(?2,)(+,+2和[μ?σ,+]。經(jīng)計(jì)算，這5個(gè)區(qū)間Si(=0~4)對(duì)應(yīng)的概率Si分別為0.26%，0.98%，3.32%，27.18%和68.26%。事實(shí)上，網(wǎng)絡(luò)安全態(tài)勢(shì)在絕大多數(shù)情況下處于“高”或“中高” 2種狀態(tài)，其他3種狀態(tài)較少。這5個(gè)層次取值基本上符合實(shí)際網(wǎng)絡(luò)安全態(tài)勢(shì)的運(yùn)行情況，等級(jí)“差”的情況一般會(huì)落在3倍根方差3區(qū)域之外。其中，和都是常量，可通過(guò)大樣本無(wú)偏估計(jì)得到。因此，按這5個(gè)區(qū)間的劃分可以對(duì)應(yīng)于安全態(tài)勢(shì)“差、中差、中、中高、高”5個(gè)等級(jí)所占用的概率，作為它們的先驗(yàn)值。具體操作如下。

1) 給定這安全態(tài)勢(shì)5個(gè)隱狀態(tài)的初始先驗(yàn)概率π時(shí)，5個(gè)區(qū)間Si(=0~4)對(duì)應(yīng)5個(gè)安全態(tài)勢(shì)等級(jí)“差、中差、中、中高、高”，其5個(gè)區(qū)間概率Si分別為0.26%，0.98%，3.32%，27.18%和68.26%。從物理意義上看，每個(gè)隱狀態(tài)的初始狀態(tài)處于等級(jí)“高”要比處于“低”的概率大，符合實(shí)際情況。

2) 對(duì)于給定隨機(jī)矩陣的先驗(yàn)概率，在安全態(tài)勢(shì)“高”狀態(tài)時(shí)，安全態(tài)勢(shì)“高”狀態(tài)轉(zhuǎn)移到另一個(gè)安全態(tài)勢(shì)“高”狀態(tài)概率(11)應(yīng)該也落在區(qū)域內(nèi)，11為68.26%左右，而其他為31.74%左右，可根據(jù)實(shí)際情況給1i賦值。一般地，相鄰等級(jí)狀態(tài)的轉(zhuǎn)移概率高。其他隱狀態(tài)的轉(zhuǎn)移概率可類(lèi)似求出。

3) 賦予隨機(jī)矩陣的先驗(yàn)概率時(shí)，在安全態(tài)勢(shì)“高”狀態(tài)下，其可觀測(cè)的狀態(tài)有≤327種可能，在此時(shí)最大可能應(yīng)該是安全態(tài)勢(shì)“高”狀態(tài)可觀測(cè)狀態(tài)(即個(gè)特征都取安全態(tài)勢(shì)“高”那個(gè)組合狀態(tài))。假設(shè)可觀測(cè)狀態(tài)1為安全態(tài)勢(shì)“高”狀態(tài)可觀測(cè)狀態(tài)，則其概率11為68.26%左右，而其他可觀測(cè)的安全態(tài)勢(shì)“高”狀態(tài)2, ...,v概率為31.74%左右，可按分級(jí)賦予。

在本文中，使用隱馬爾可夫模型Baum-Welch學(xué)習(xí)算法，從訓(xùn)練樣本中逐漸學(xué)習(xí)得到模型的3個(gè)參數(shù)，它是一種EM迭代方法。在每次迭代過(guò)程中，首先初始化，再進(jìn)行E-步，在給定的(，，)時(shí)計(jì)算和；最后進(jìn)行M-步，在給定公式和的情況下再計(jì)算模型λ。這2步交替迭代，進(jìn)行直到完全收斂為止。

2) E-步：在給定的和觀測(cè)的條件下計(jì)算和。

其中：

根據(jù)EM算法，通過(guò)樣本學(xué)習(xí)，可以得到本網(wǎng)絡(luò)安全態(tài)勢(shì)HMM模型中的3個(gè)未知參數(shù)，和B。引理1在給3個(gè)參數(shù)的先驗(yàn)概率PPT時(shí)有嚴(yán)格的理論基礎(chǔ)。

3 預(yù)測(cè)算法

在局域網(wǎng)中，當(dāng)網(wǎng)絡(luò)運(yùn)行不正?；?qū)ζ渚W(wǎng)絡(luò)運(yùn)行性能產(chǎn)生懷疑時(shí)，通過(guò)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)個(gè)外在表現(xiàn)特征監(jiān)測(cè)，得到個(gè)時(shí)刻的可觀測(cè)狀態(tài)(三維組合狀態(tài))，根據(jù)已建立的隱馬爾可夫模型預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)未來(lái)發(fā)展?fàn)顩r，及時(shí)調(diào)整安全策略，為高層決策服務(wù)提供可靠依據(jù)。

預(yù)測(cè)算法的基本思路是：給定1個(gè)已訓(xùn)練好的HMM及1個(gè)觀測(cè)序列(1，…，O)，希望找出隱狀態(tài)序列=(1，2，…，q)，其具有產(chǎn)生安全態(tài)勢(shì)可觀測(cè)序列的最大概率的可能。即要找到使(|,)最大化的*，則在最大化安全態(tài)勢(shì)隱狀態(tài)序列*=(1，…，q)的個(gè)隱狀態(tài)中，下一個(gè)非?？赡艹霈F(xiàn)的隱狀態(tài)q+1即為需要預(yù)測(cè)的狀態(tài)，它是可觀測(cè)狀態(tài)q向下一個(gè)狀態(tài)轉(zhuǎn)移過(guò)程中轉(zhuǎn)移概率a中最大的隱狀態(tài)q+1，即1時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)。算法 如下。

1) 令觀測(cè)在時(shí)刻的數(shù)據(jù)隱狀態(tài)q為S，可得到沿著隱狀態(tài)狀態(tài)路徑=(1，2，…，q)(其中：q?1=S，q=S)，產(chǎn)生安全態(tài)勢(shì)可觀測(cè)序列=(1，…，t)，的最大輸出概率為δ(,)，有(2≤≤；1≤≤)。其中：φ()為記錄最大概率狀態(tài)路徑上當(dāng)前安全態(tài)勢(shì)的隱狀態(tài)q的前一個(gè)狀態(tài)，(2≤≤；1≤≤)。arg max表示尋求最大參數(shù)值，使得表達(dá)式結(jié)果為 最優(yōu)。

4)根據(jù)隱狀態(tài)T*對(duì)應(yīng)的輸出序列和可觀測(cè)概率隨機(jī)矩陣，計(jì)算此狀態(tài)的最大輸出概率，再計(jì)算1時(shí)刻的輸出，得到+1時(shí)刻狀態(tài)：。

算法中計(jì)算δ()時(shí)必須考慮從?1時(shí)刻所有個(gè)狀態(tài)轉(zhuǎn)移到狀態(tài)的S概率，時(shí)間復(fù)雜度為()，對(duì)應(yīng)每個(gè)時(shí)刻，要計(jì)算個(gè)中間變量δ()，…，δ()，時(shí)間復(fù)雜度為(2)，因?yàn)?，…，，因此，整個(gè)算法時(shí)間復(fù)雜度為(2)。

4 仿真實(shí)驗(yàn)

為了檢驗(yàn)本文所提出的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)理論的正確性，進(jìn)行仿真實(shí)驗(yàn)。在實(shí)驗(yàn)過(guò)程中，2類(lèi)數(shù)據(jù)來(lái)源如下：一類(lèi)通過(guò)開(kāi)發(fā)安裝在各個(gè)網(wǎng)絡(luò)組件上的軟件監(jiān)測(cè)得到的實(shí)時(shí)數(shù)據(jù)；一類(lèi)來(lái)源于Snort入侵檢測(cè)系統(tǒng)中的觀測(cè)數(shù)據(jù)?；静襟E如下：首先，按引理1賦給隱馬爾可夫模型=(，，)這3個(gè)參數(shù)的先驗(yàn)值；其次，按照一定規(guī)則隨機(jī)采集樣本訓(xùn)練HMM模型直至收斂，獲得3個(gè)參數(shù)的近似值；最后，由一組網(wǎng)絡(luò)安全態(tài)勢(shì)樣本觀測(cè)序列預(yù)測(cè)下一階段態(tài)勢(shì)。

4.1 網(wǎng)絡(luò)模型

根據(jù)本文所提出的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)理論搭建網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境，如圖2所示。圖2中正常用戶User和攻擊者Attacker都可通過(guò)因特網(wǎng)訪問(wèn)網(wǎng)絡(luò)主機(jī)，主機(jī)有數(shù)據(jù)庫(kù)服務(wù)器、FTP服務(wù)器和入侵檢測(cè)系統(tǒng)等。本文模擬攻擊者Attacker 在不同時(shí)刻對(duì)網(wǎng)絡(luò)上不同類(lèi)型的主機(jī)發(fā)起掃描、緩沖區(qū)溢出攻擊和TCP-SYN Flood 攻擊等，通過(guò)獲取入侵檢測(cè)系統(tǒng)IDS報(bào)警日志信息對(duì)節(jié)點(diǎn)單位時(shí)間內(nèi)受到的攻擊進(jìn)行統(tǒng)計(jì)，根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法可獲取整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)A，再根據(jù)文中HMM模型預(yù)測(cè)下一階段的網(wǎng)絡(luò)安全態(tài)勢(shì)。

圖2 實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)拓?fù)鋱D

4.2 數(shù)據(jù)預(yù)處理

網(wǎng)絡(luò)基礎(chǔ)運(yùn)行性(runnability)、網(wǎng)絡(luò)脆弱性(vulnerability)和網(wǎng)絡(luò)威脅性(threat)取三等值“高、中、差”或“1，2，3”，則總共可觀測(cè)組合狀態(tài)=27個(gè)。當(dāng)這3個(gè)特征取定值時(shí)，則1個(gè)可觀測(cè)組合狀態(tài)可表示為=(runnability, vulnerability, threat)。對(duì)這27個(gè)狀態(tài)編號(hào)為：1=(1,1,1)，2=(1,1,2)，3=(1,1,3)，4=(1,2,1)等。按引理1給定=(,,)先驗(yàn)值如表1~3所示。從表3可見(jiàn)：當(dāng)安全態(tài)勢(shì)的隱狀態(tài)為“高”時(shí)(1行)，觀測(cè)到正?？捎^測(cè)安全狀態(tài)1的概率為68.26%，其他情況按概率就近轉(zhuǎn)移為大的原則，小概率平均狀態(tài)數(shù)，3個(gè)參數(shù)的先驗(yàn)概率值近似給定。

表1 參數(shù)π的先驗(yàn)值PPT

表2 狀態(tài)轉(zhuǎn)移隨機(jī)矩陣A的先驗(yàn)值aij

表3 觀測(cè)隨機(jī)矩陣B的先驗(yàn)值bjm

4.3 訓(xùn)練隱馬爾可夫模型

從圖2可獲取網(wǎng)絡(luò)的安全態(tài)勢(shì)A，則外在觀測(cè)=(runnability, vulnerability, threat)取定相應(yīng)值。若在時(shí)間觀測(cè)到的值就是O，則取個(gè)樣本序列來(lái)訓(xùn)練隱馬爾可夫模型直致收斂，得到其似然模型，即可確定3個(gè)參數(shù)。按照上述網(wǎng)絡(luò)安全態(tài)勢(shì)所提出的理論，由于本文取安全態(tài)勢(shì)分量數(shù)為3，則對(duì)于每個(gè)觀測(cè)樣本取其長(zhǎng)度為=3，即有形如觀測(cè)樣本。假設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)正常情況下的概率為95%左右，其他情況共為5%左右。仿真樣本的獲取通過(guò)隨機(jī)程序產(chǎn)生，共采取2次觀測(cè)樣本量為2 000和3 000個(gè)，其收斂效果如圖3所示。圖3中，橫坐標(biāo)代表迭代所需次數(shù)，縱坐標(biāo)表示經(jīng)過(guò)每次迭代后3個(gè)參數(shù)值與前次迭代結(jié)束時(shí)3個(gè)參數(shù)值的距離即方差。為了便于繪圖，將所有的概率放大100倍。通過(guò)樣本訓(xùn)練，可以得到模型λ的3個(gè)隱馬爾可夫模型參數(shù)的估計(jì)值。圖3所示為本文賦予先驗(yàn)概率收斂算法及未賦予先難概率收斂算法對(duì)比效果。

樣本量/個(gè)：1—2 000，賦予先驗(yàn)概率； 2—2 000，未賦予先驗(yàn)概率；3—3 000，賦予先驗(yàn)概率； 4—3 000，未賦予先驗(yàn)概率

對(duì)上述實(shí)驗(yàn)結(jié)果進(jìn)行分析可得：1) 利用隱馬爾可夫預(yù)測(cè)模型，通過(guò)獲取外在預(yù)測(cè)數(shù)據(jù)，以此來(lái)訓(xùn)練HMM，具有高效的收斂算法，數(shù)據(jù)量達(dá)到3 000個(gè)以上，基本上收斂在某個(gè)點(diǎn)上，說(shuō)明預(yù)測(cè)模型可行。隱馬爾可夫預(yù)測(cè)模型在參數(shù)學(xué)習(xí)時(shí)，給定先驗(yàn)概率，收斂速度優(yōu)于傳統(tǒng)的HMM參數(shù)學(xué)習(xí)方法。2) 利用訓(xùn)練好的隱馬爾可夫預(yù)測(cè)模型，根據(jù)臨時(shí)監(jiān)測(cè)的網(wǎng)絡(luò)安全態(tài)勢(shì)，基于預(yù)測(cè)算法，可方便地預(yù)測(cè)下一時(shí)刻網(wǎng)絡(luò)的安全態(tài)勢(shì)(如圖4所示)，因此，本算法是有效的。

4.4 安全態(tài)勢(shì)預(yù)測(cè)

在網(wǎng)絡(luò)運(yùn)行時(shí)，若懷疑網(wǎng)絡(luò)安全態(tài)勢(shì)異常，則通過(guò)監(jiān)測(cè)一定數(shù)量的安全態(tài)勢(shì)觀測(cè)序列，經(jīng)過(guò)尋找隱馬爾可夫模型最有可能解釋產(chǎn)生本次安全態(tài)勢(shì)觀測(cè)的一系列隱狀態(tài)?；陔[狀態(tài)q，則它的下一個(gè)最大可能轉(zhuǎn)移概率a的相應(yīng)隱狀態(tài)在+1時(shí)刻的安全態(tài)勢(shì)A為q+1。

本實(shí)驗(yàn)采集一組10個(gè)觀測(cè)樣本數(shù)據(jù)為：<高、高、高>，<高、高、高>，<高、中、高>，<高、中、中>，<中、中、中>，<中、中、中>，<中、中、高>，<中、高、高>，<高、高、高>和<高、高、高>。輸入到隱馬爾可夫模型中，經(jīng)解碼為安全態(tài)勢(shì)隱狀態(tài)：“高、高、中高、中高、中、中、中高、中高、高、高”。最后1個(gè)隱狀態(tài)q=“高”。由于11=0.682 6，在所有的隱狀態(tài)轉(zhuǎn)移概率中為最高，所以，在+1時(shí)刻的安全態(tài)勢(shì)A為q1=“高”。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)對(duì)比圖如圖4所示，其中，縱軸表示安全態(tài)勢(shì)等級(jí)，“5”表示“高”，“0”表示“低”；橫軸表示時(shí)間，在采樣序號(hào)10時(shí)，安全態(tài)勢(shì)為高，經(jīng)預(yù)測(cè)下一個(gè)時(shí)刻11時(shí)，安全態(tài)勢(shì)應(yīng)該為高，可信度達(dá)68.26%。通過(guò)本實(shí)驗(yàn)，依據(jù)訓(xùn)練好的隱馬爾可夫預(yù)測(cè)模式可方便地預(yù)測(cè)下一時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)展趨勢(shì)。從圖4可明顯看出本文的HMM方法可信度比貝葉斯預(yù)測(cè)方法的高。

曲線中，數(shù)據(jù)個(gè)位數(shù)表示安全態(tài)勢(shì)的等級(jí)，小數(shù)表示所處此等級(jí)的概率

5 結(jié)論

1) 為了可靠地給網(wǎng)絡(luò)管理員制定決策和防御措施提供依據(jù)，建立預(yù)測(cè)安全態(tài)勢(shì)的隱馬爾可夫模型，參數(shù)訓(xùn)練其隱馬爾可夫模型。當(dāng)安全態(tài)勢(shì)出現(xiàn)異常時(shí)，采用預(yù)測(cè)機(jī)制，通過(guò)收集網(wǎng)絡(luò)外在可觀測(cè)狀態(tài)，利用已訓(xùn)練好HMM的模型對(duì)運(yùn)行時(shí)安全態(tài)勢(shì)進(jìn)行實(shí)時(shí)預(yù)測(cè)。

2) 以正態(tài)分布為基礎(chǔ)建立模型，對(duì)連續(xù)型隨機(jī)變量經(jīng)過(guò)離散化，操作方便且符合實(shí)際情況，有利于隱馬爾可夫模型的參數(shù)學(xué)習(xí)。尤其對(duì)模型中的先驗(yàn)概率值確定有嚴(yán)格理論依據(jù)。仿真實(shí)驗(yàn)結(jié)果驗(yàn)證了本文方法的正確性。

[1] Bass T. Intrusion detection systems and multisensor data fusion[J]. Communications of the ACM, 2000, 43(4): 99?105.

[2] 龔正虎, 卓瑩. 網(wǎng)絡(luò)態(tài)勢(shì)感知研究[J]. 軟件學(xué)報(bào), 2010, 21(7): 1605?1619. GONG Zhenghu, ZHUO Ying. Research on cyberspace situational awareness[J]. Journal of Software, 2010, 21(7): 1605?1619.

[3] Jeffrey M, Bradshaw, Carvalho M, et al. Sol: An agent-based framework for cyber situation awareness[J]. Künstliche Intelligenz: Springer, 2012, 26(2): 127?140.

[4] G?rnitz N, Kloft M, Rieck K, et al. Toward supervised anomaly detection[J]. Journal of Artificial Intelligence Research, 2013, 46(2): 235?262.

[5] Sample C, Schaffer K. An overview of anomaly detection[J]. IT Professional, 2013, 15(1): 8?11.

[6] Giusj D, Chiara F, Gabriele O, et al. Aware online interdependency modeling via evidence theory[J]. International Journal of Critical Infrastructures, 2013, 9(1): 74?92.

[7] Jan Bazan G, Bazan-Socha S, Buregwa-Czuma S, et al. Classifiers based on data sets and domain knowledge: A rough set approach[J]. Intelligent Systems Reference Library, 2013, 43(1): 93?136.

[8] 方研, 殷肖川, 孫益博. 基于隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2013, 30(12): 64?68. FANG Yan, YIN Xiaochuan, SUN Yibo. Network security situation assessment based on hidden Markov model[J]. Computer Applications and Software, 2013, 30(12): 64?68.

[9] 張海霞, 蘇璞睿, 馮登國(guó). 基于攻擊能力增長(zhǎng)的網(wǎng)絡(luò)安全分析模型[J]. 計(jì)算機(jī)研究與發(fā)展, 2007, 44(12): 2012?2019. ZHANG Haixia, SU Purui, FENG Dengguo. A network security analysis model based on the increase in attack ability[J]. Journal of Computer Research and Development, 2007, 44(12): 2012?2019.

[10] 謝麗霞, 王亞超, 于巾博. 基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知[J]. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版), 2013, 53(12): 1750?1760. XIE Lixia, WANG Yachao, YU Jinbo. Network security situation awareness based on neural networks[J]. Journal of Tsinghua University (Science & Technology), 2013, 53(12): 1750?1760.

[11] 唐成華, 湯申生, 強(qiáng)保華. D-S融合知識(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及驗(yàn)證[J]. 計(jì)算機(jī)科學(xué), 2014, 41(4): 107?110, 125. TANG Chenghua, TANG Shensheng, QIANG Baohua. Assessment ang validation of network security situation based on D?S and knowledge fusion[J]. Computer Science, 2014, 41(4): 107?110, 125.

[12] 席榮榮, 云曉春, 張永錚, 等. 一種改進(jìn)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法[J]. 計(jì)算機(jī)學(xué)報(bào), 2015, 38(4): 749?758. XI Rongrong, YUN Xiaochun, ZHANG Yongzheng, et al. An improved quantitative evaluation method for network security[J]. Chinese Journal of Computers, 2015, 38(4): 749?758.

[13] 唐成華, 余順爭(zhēng). 一種基于似然BP的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J]. 計(jì)算機(jī)科學(xué), 2009, 36(19): 97?100, 168. TANG Chenghua, YU Shunzheng. Method of network security situation prediction based on likelihood BP[J]. Computer Science, 2009, 36(19): 97?100, 168.

[14] 黃同慶, 莊毅. 一種實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J]. 小型微型計(jì)算機(jī)系統(tǒng), 2014, 35(2): 303?306. HUANG Tongqing, ZHUANG Yi. An approach to real-time network security situation prediction[J]. Journal of Chinese Computer Systems, 2014, 35(2): 303?306.

[15] 鄔書(shū)躍, 田新廣. 基于隱馬爾可夫模型的用戶行為異常檢測(cè)新方法[J]. 通信學(xué)報(bào), 2007, 28(4): 38?43. WU Shuyue, TIAN Xinguang. Method for anomaly detection of user behaviors based on hidden Markov models[J]. Journal on Communications, 2007, 28(4): 38?43.

[16] 劉玉嶺, 馮登國(guó), 連一峰, 等. 基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J]. 計(jì)算機(jī)研究與發(fā)展, 2014, 51(8): 1681?1694. LIU Yuling, FENG Dengguo, LIAN Yifeng, et al. Network situation prediction method based on spatial-time dimension analysis[J]. Journal of Computer Research and Development, 2014, 51(8): 1681?1694.

Network security situation prediction method based on hidden Markov model

WEN Zhicheng1, 2, CHEN Zhigang1

(1. School of Information Science and Engineering, Central South University, Changsha 410083, China; 2. School of Computer and Communication, Hunan University of Technology, Zhuzhou 412007, China)

In order to help network administrators make correct decisions and take effective defense measures, a hidden Markov prediction model was put forward. The characteristics of network security situation changes were investigated, the time series analysis method was used to describe the dependent relationship between the former and the latter’s security situations in different time. When the security situation was deviated from its normal state, the change law was analyzed, and system change trend and development direction of security situation in the future were predicted by the prediction model. Finally, the network security situation prediction algorithm was verified using the simulation data. The simulation results verify the correctness of the method.

network security situation; hidden Markov model; situation prediction; parameter learning; prediction model

10.11817/j.issn.1672-7207.2015.10.019

TP311

A

1672?7207(2015)10?3689?07

2015?03?05；

2015?05?10

國(guó)家自然科學(xué)基金資助項(xiàng)目(61073186,61073104,60903058)；中南大學(xué)博士后基金資助項(xiàng)目(2012年)(Projects (61073186, 61073104, 60903058) supported by the National Natural Science Foundation of China; Project (2012) supported by the Post Doctoral Fund of Central South University)

陳志剛，博士，教授，博士生導(dǎo)師，從事網(wǎng)絡(luò)計(jì)算與分布式處理研究；E-mail：czg@csu.edu.cn

(編輯 陳燦華)